Sqlninja – o Kung Fu do SQL Injection

Sqlninja é uma ferramenta, programada em Perl e com licença GPLv2, para explorar vulnerabilidades SQL Injection em aplicações web que usam Microsoft SQL Server.
O objectivo principal desta ferramenta é fornecer um acesso interactivo num servidor base de dados vulnerável.
Indicado para pentesters que queiram ter no seu leque de opções de testes de intrusão, algo que os ajude a automatizar o processo de explorar uma falha identificada de SQL Injection.

Saliento particularmente três características do sqlninja (para além de ter um nome fantástico):

  • Fingerprint do servidor de base de dados bastante completo;
  • Integração com o Metasploit;
  • Técnicas de invasão a alguns IDS e WAFs razoáveis.

Para ajudar a configurar e a utilizar  a ferramenta, estão disponíveis dois vídeos com alguns exemplos.

Juntamente com o sqlmap, o sqlninja é uma das ferramentas de SQL Injection que uso regularmente.
Recomendo!

Achaste interessante? Partilha!
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.

    Trackbacks para este post

    1. CRK Portugal » Sqlninja – o Kung Fu do SQL Injection

    Que tal participar com o seu comentário?